В устройствах UserGate для корректной работы сервисов при наличии виртуальных маршрутизаторов (VRF) введены некоторые ограничения на доступ к сервисам зон.
Пакет будет пропущен к сервису, если он поступил на интерфейс зоны, в которой разрешена работа данного сервиса. Если затем, в результате внутренней маршрутизации, пакет был перенаправлен на интерфейс другой зоны (например, запрос из одной зоны осуществляется по IP-адресу, находящемуся в другой зоне), то такой пакет будет заблокирован даже несмотря на наличие доступа к сервису обоих зон.
В правилах NGFW могут использоваться списки IP, geo IP и списки доменных имен. Эти списки представляют из себя разные сущности и обрабатываются в правилах по-разному.
В общем случае правила обработки выглядят так:
1. условия объединяются по ИЛИ, если указаны несколько списков IP-адресов и/или доменов;
2. условия объединяются по И, если указаны GeoIP и списки IP-адресов и/или доменов.